Coraz częściej odkrywane są potencjalnie tragiczne w skutkach błędy w zabezpieczeniach urządzeń medycznych. Według oceny ryzyka lub priorytetu zagrożenia przyznanego na podstawie międzynarodowego standardu CVSS (Common Vulnerability Scoring System), w pompach infuzyjnych Becton Dickinson Medical automatyzujących dawki leków, odkryto dwie luki. Jednej przyznano maksymalną liczbę punktów 10/10 w skali CVSS, która określa powagę zagrożenia. Standard CVSS dotyczy cyfrowego bezpieczeństwa, które w tym przypadku ma wpływ na ludzkie życie. Może już czas, aby wymyślić nową metodologię szacowania ryzyka w urządzeniach, które podtrzymują ludzkie życie?
Takie pompy są często podłączane do centralnej stacji monitorującej, dzięki czemu personel szpitala może kontrolować wielu pacjentów, dawkując im leki. Pompy napędzane są systemem Windows Embedded, który został specjalnie zaprojektowany w celu płynnego działania na wszelkiego rodzaju urządzeniach z małą ilością pamięci. Pompy firmy Becton Dickinson Medical są bardzo popularne w Europie i Azji. Dostępne są także w polskiej dystrybucji. Jest wysoce prawdopodobne, że placówki medyczne na terenie naszego kraju, mogą być wyposażone w takie urządzenia.
Luki w pompie infuzyjnej Becton Dickinson Medical. Nie ma publicznych exploitów, ale…
Pierwsza luka pozwala atakującemu odczytać informacje o zainstalowanej wersji oprogramowania w urządzeniu, co będzie przydatne przy drugiej luce. Publicznego złośliwego kodu jeszcze nie ma, a nawet gdyby był, to atak musiałby przeprowadzić ktoś, kto ma dostęp do sieci szpitala.
Druga luka CVE-2019-10959 jest powiązana z atakiem, który przypisuje się do klasycznej techniki man-in-the-middle. Eksperci z firmy CyberMDX, którzy odkryli nieudokumentowaną „funkcjonalność” w urządzeniu AlarisTM Gateway obsługującym aktualizację oprogramowania pomp, twierdzą, że luka może być wykorzystana do podstawienia fałszywej wersji aktualizacji i to bez uwierzytelnienia. Dzięki temu przesłane przez atakującego pliki mogą sprawić, że ktoś przejmie kontrolę nad pompą infuzyjną i będzie mógł zmieniać szybkość dawkowania leków lub całkowicie wyłączyć urządzenie. Innymi słowy można spowodować, że pacjent otrzyma za dużo lub za mało leku, co może mieć śmiertelny skutek. Przesyłanie złośliwych plików będzie możliwe bez udziału jakichkolwiek działań ze strony personelu szpitala, czyli nie jest wymagane żadne uwierzytelnienie. Prawdopodobnie dlatego przyznano 10 punktów w skali powagi zagrożenia CVSS.
Według ekspertów te same urządzenia medyczne były podatne w zeszłym roku na atak zwany KRACK. Ta metoda ataku jest w stanie złamać szyfrowanie WPA2, umożliwiając przestępcom odczytywanie informacji przesyłanych między urządzeniem a jego bezprzewodowym punktem dostępu za pomocą wariantu popularnego — i zazwyczaj często wykrywalnego — ataku typu „man-in-the-middle”. KRACK łamie protokół WPA2 poprzez wymuszenie ponownego użycia nonce w algorytmach szyfrowania używanych przez Wi-Fi. W kryptografii nonce jest dowolną liczbą, którą można użyć tylko raz. Często jest to losowa lub pseudolosowa liczba generowana w publicznym kluczu protokołu uwierzytelniania. Jak się okazuje losowe liczby wykorzystywane w WPA2 nie są całkowicie przypadkowe, co pozwala na złamanie protokołu. Jeśli operacja przestępcy zakończy się sukcesem, zdobędzie on dostęp do danych ofiary oraz do niezabezpieczonych urządzeń mających dostęp do tej samej sieci Wi-Fi.
Rekomendacje dla administracji szpitala
Personel techniczny obsługujący urządzenia powinien zapoznać się ze szczegółami znajdującymi się w dokumencie opracowanym przez ekspertów z firmy CyberMDX oraz Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych.
Zaleca się wdrożenie następujących zabezpieczeń:
- Zaktualizowanie oprogramowania urządzeń medycznych do najnowszej wersji. W tym celu należy skontaktować się z dystrybutorem albo producentem.
- Zablokowanie protokołu SMB.
- Wdrożenie segmentacji sieci i polityki bezpieczeństwa.
- Przestrzeganie zasad dostępu do urządzeń medycznych.
